Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en Nokia ASIK AirScale

Fecha de publicación 04/11/2022
Identificador

INCIBE-2022-1000

Importancia
4 - Alta
Recursos Afectados
  • ASIK 474021A.101;
  • ASIK 474021A.102 (no está afectado por CVE-2022-2484).
Descripción

Joel Cretan, investigador de Red Balloon Security, ha reportado 3 vulnerabilidades de severidad alta en el producto ASIK AirScale 5G Common System Module de Nokia, cuya explotación podría permitir a un atacante la ejecución de un kernel malicioso, programas maliciosos arbitrarios o programas modificados.

Solución

Nokia ha publicado notas de soporte técnico que contienen instrucciones de mitigación para los usuarios afectados, quienes deben ponerse en contacto con el fabricante para recibir más información.

Detalle
  • Una vulnerabilidad en el módulo del sistema ASIK AirScale de Nokia podría permitir a un atacante situar un script en el sistema de archivos accesible desde Linux con el que ejecutar código arbitrario en el bootloader. Se ha asignado el identificador CVE-2022-2482 para esta vulnerabilidad.
  • La comprobación de la firma en el módulo del sistema Nokia ASIK AirScale podría omitirse, permitiendo a un atacante ejecutar firmware malicioso. Se ha asignado el identificador CVE-2022-2484 para esta vulnerabilidad.
  • El bootloader del módulo del sistema Nokia ASIK AirScale carga claves públicas para la firma de verificación del firmware. Si un atacante modifica el contenido para corromper las claves, el arranque seguro podría quedar permanentemente desactivado. Se ha asignado el identificador CVE-2022-2483 para esta vulnerabilidad.

Encuesta valoración